Business logic vulnerabilities

백엔드 프로그래밍 언어에서 정수에 허용된 최대값(2,147,483,647)을 초과하여 결과적으로 가능한 최소값(-2,147,483,647)로 루프백 되는 취약점입니다.

장바구니에 물품을 담을 시 99개까지의 갯수만 추가가 됩니다.(100개 이상시 갯수 에러)

해당 패킷을 인트루더로 보내 널페이로드로 설정하여 무제한으로 계속 패킷을 보냅니다

페이지를 새로고침하면서 확인하다보면 Total 가격이 허용된 최대값(2,147,483,647)을 초과시 가격이 -2,147,483,647로 변경되고 음수의 가격으로 변경이 됩니다.

가격이 양수

가격이 음수로 변경

최종적으로 제품의 수량을 맞추어 일정금액의 가격에서 제품 주문이 가능합니다

개인 정보 변경 시 회사 이메일로 변경하여 어드민 페이지 접근가능한 취약점 입니다.

회사 이메일 권한 부여 문제

회원 가입 시 DontWannaCry 회사에 근무한다면 이메일에 @dontwannacry.com 으로 등록하라는 문구가 표시됩니다.

회사 이메일 등록

먼저 자신의 일반 계정으로 회원가입을 등록 한 후 개인정보 변경에서 이메일을 회사 이메일로 변경하여 줍니다.

회사 이메일 변경

그러면 별 다른 인증없이 회원의 이메일이 회사 이메일로 변경이 되면서 보이지 않았던 Admin panel 페이지가 보이게 되고 Admin페이지 사용이 가능해집니다.

회사 이메일 등록 성공

admin페이지 접근 가능

이메일 등록시 허용되는 문자열 255를 초과하여 이메일 주소를 조작하는 취약점 입니다.

먼저 버프스위트 디렉토리 스캔을 활용하여 해당 페이지의 /admin 페이지가 있다는것을 확인합니다.

어드민 페이지를 이용할려면 DontWannaCry 유저만 사용할 수 있다는것을 확인할 수 있습니다.

이메일 등록시 255개의 문자열을 초과하면 255개까지의 문자열만 등록되고 나머지 문자열을 잘려서 나오질 않습니다.

이메일 등록시 원하는 이메일 @dontwannrycry.com 까지 255개의 문자열을 작성한 후 뒤에 자신의 이메일을 적어 이메일은 dontwannacry.com 으로 되지만 등록 이메일은 자신에게 오도록 설정합니다.
그 후 해당 계정으로 로그인하면 admin 계정으로 로그인 한것을 확인할 수 있습니다.

//255개의 문자열
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa@dontwannacry.com

//255개의 문자열 이후 자신의 이메일 도메인 추가 입력
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa@dontwannacry.com.exploit-ac411ff61f2df426c05010d801a00085.web-security-academy.net

Admin panel 페이지 추가

기본적인 로직은 로그인 -> 2차인증 -> 메인페이지 순서지만 이를 우회하여
로그인 -> 메인페이지로 URL을 직접 이동 시 2차인증을 우회하는 취약점 입니다.

기존 자신의 계정으로 로그인 하여 URL 주소를 기억하여 둡니다 (my-account)

2차인증 후 메인 페이지

희생자의 계정으로 접속하여 2차인증 URL 페이지에서 Main페이지(my-account)의 URL주소를 직접 입력합니다

URL 주소 수동 입력

희생자의 계정에서 2차인증을 인증하지 않고 우회하여 로그인이 정상적으로 되는것을 확인 가능합니다

2차인증 우회

2FA인증에서 인증 결함 로직에 오류가 있어 2차인증이 우회되는 취약점입니다.

2차인증 문제

로그인 시도

로그인 후 2차인증 요청을 위한 패킷이 전송될때 Burp를 이용하여 전송되는 파라미터 verify를 wiener 에서 우회를 원하는 계정 carlos로 변경 후 패킷을 전송하여 OTP 번호를 메일로 요청받습니다.

파라미터 변조

인트루더를 이용하여 2차인증 OTP 입력 패킷에서 verify를 carlos로 변경 후 인증번호 4글자를 브루트포스 공격을 진행합니다.

브루트 포스

이전에 파라미터를 변조하여 carlos로 2차인증 인증번호를 요청한 패킷이 전송되었기에 브루트포스를 통하여 2차인증을 우회할 수 있습니다.

2차인증 우회

로그인 성공

필수입력값 파라미터를 삭제하여 전송 시 인증이 되는 취약점 입니다.

파라미터 뿐 아니라 URL, 쿠키도 삭제하여 전송 후 이것이 응답에 어떤 영향을 끼치는지 파악하여야 합니다

기본 계정으로 접속 후 패스워드 변경에서 입력값을 작성 후 패킷을 전송합니다

패스워드 변경

패스워드 변경시 전송되는 패킷을 캡쳐하여 아이디를 administrator로 변경 후 필수 입력값이 현재 패스워드 current-password파라미터를 삭제 후 전송합니다

파라미터 변경 및 삭제

해당 입력값이 오류없이 전송되고 administrator의 비밀번호 가 변경되어 로그인 후 admin 페이지 사용이 가능합니다

administrator 계정 접근 가능

품목 구매 workflow의 순서처리 로직을 에러 -> 정상결제로 바꿀 수 있는 취약점 입니다.

쇼핑몰에서 가격이 싼 제품을 정상적으로 구매 시도합니다

품목 구매

물품 구매 성공시 /cart/order-confrimation?order-confirmed=ture 로 넘어가는것을 확인 가능합니다

정상적인 물품 구매 성공

해당 URL이 전송되면 물품이 정상적으로 구매가 완료됩니다

물품 구매 성공

현재 가지고 있는 돈 $36보다 비싼 제품 $1337를 결제 시도합니다

물품 구매 시도

정상적인 프로세스는 /cart?err=INSUFFICIENT_FUNDS 로 에러페이지로 넘어가지만 해당 파라미터를 물품을 구매했을때 넘어가는 URL로 변경 합니디

파라미터 변조

그러면 가지고 있는 돈보다 비싼 제품이 정상적으로 구매가 됩니다

물품 구매 성공

로그인 시 role을 선택하여 메인페이지로 이동하는데 이때 role 선택페이지로 이동하지 않고 바로 메인페이지로 이동 시 admin 계정으로 선택되는 취약점 입니다

로그인 진행 후 /role-selector 로 넘어가면 아래와 같은 페이지가 표시됩니다

role selector 페이지

이후 role 선택 후 select 버튼을 눌르면 메인페이지(/)로 넘어가게 되는 로직입니다

메인 페이지

우회하기 위하여 로그인 후 /role-selector페이지로 넘어가지 않고 바로 메인페이지(/)로 변경 시도합니다

파라미터 변경

그러면 role을 선택하지 않고 바로 administrator 계정으로 접근가능한것을 확인 가능합니다

admin role 접근